AWS Control Tower の AWS アカウントについて - AWS Control Tower

AWS Control Tower の AWS アカウントについて

AWS アカウント は、ユーザーが所有するすべてのリソースのコンテナです。こうしたリソースとしてアカウントで容認される AWS Identity and Access Management (IAM) アイデンティティがあり、これによってそのアカウントにアクセスできるユーザーが決まります。IAM アイデンティティには、ユーザー、グループ、ロールなどがあります。AWS Control Tower で IAM、ユーザー、ロール、およびポリシーを使用する方法の詳細については、「AWS Control Tower の Identity and Access Management」を参照してください。

リソースとアカウントの作成時間

AWS Control Tower は、アカウントを作成または登録すると、そのアカウントに最低限必要なリソース設定をデプロイします。Account Factory テンプレート形式のリソースや、ランディングゾーン内のその他のリソースなどです。このようなリソースとして、IAM ロール、AWS CloudTrail 証跡、AWS Service Catalog でプロビジョニングされた製品、IAM Identity Center ユーザーなどがあります。AWS Control Tower は、ガードレール設定に応じて、新しいアカウントがメンバーアカウントになることになっている OU のリソースもデプロイします。

AWS Control Tower は、ユーザーに代わってこれらのリソースのデプロイをオーケストレートします。デプロイを完了するにはリソースごとに数分かかる場合があるため、アカウントを作成または登録する前に作業の合計時間を考慮してください。アカウントのリソースの管理の詳細については、「AWS Control Tower リソースの作成と変更に関するガイダンス」を参照してください。

アカウントの表示

[Organization] (組織) ページには、AWS Control Tower での OU や登録のステータスに関係なく、組織内のすべての OU とアカウントが一覧表示されます。各アカウントが登録の前提条件を満たしていれば、AWS Control Tower でメンバーアカウントを個別または OU グループ別に表示および登録できます。

[Organization] (組織) ページで特定のアカウントを表示するには、右上のドロップダウンメニューから [Accounts only] (アカウントのみ) を選択し、テーブルから目的のアカウントの名前を選択します。テーブルから親 OU の名前を選択して、その OU の [Details] (詳細) ページで、その OU 内のすべてのアカウントのリストを表示することもできます。

[Organization] (組織) ページと [Account details] (アカウントの詳細) ページで、アカウントの [State] (状態) を表示できます。これは、次のいずれかです。

  • [Not enrolled] (未登録) - アカウントは親 OU のメンバーですが、AWS Control Tower によって完全には管理されていません。親 OU が登録されている場合、アカウントはその登録済みの親 OU に設定された予防ガードレールによって管理されますが、OU の検出ガードレールはこのアカウントに適用されません。親 OU が未登録の場合は、どのガードレールもこのアカウントに適用されません。

  • [Enrolling] (登録中) - アカウントは、AWS Control Tower の管理対象になっています。親 OU のガードレール設定に適合するようにアカウントが調整されます。このプロセスには、アカウントリソースごとに数分かかる場合があります。

  • [Enrolled] (登録済み) - アカウントは、その親 OU 用に設定されたガードレールによって管理されています。AWS Control Tower によって完全に管理されています。

  • [Enrollment failed] (登録に失敗しました) - AWS Control Tower がアカウントを登録できませんでした。詳細については、「登録の失敗の一般的な原因」を参照してください。

  • [Update available] (更新プログラムが利用できます) — このアカウントは更新できます。この状態のアカウントは登録済みですが、環境に加えられた最近の変更を反映するには、アカウントを更新する必要があります。単一のアカウントを更新するには、アカウントの詳細ページに移動し、[Update account] (アカウントの更新) を選択します。

    1 つの OU の下にこの状態のアカウントが複数ある場合は、OU を再登録することを選択し、これらのアカウントをまとめて更新できます。

共有アカウントについて

AWS Control Tower には、3 つの特別な AWS アカウント (管理アカウント、監査アカウント、ログアーカイブアカウント) が関連付けられています。これらのアカウントは通常、共有アカウントと呼ばれ、場合によってはコアアカウントと呼ばれることもあります。

  • ランディングゾーンのセットアップ時には監査アカウントとログアーカイブアカウントの名前をカスタマイズすることを選択できますが、セットアップ後はアカウント名を変更できません (これは 1 回限りの選択です)。

  • ランディングゾーンの最初のセットアッププロセスでは、既存の AWS アカウントを AWS Control Tower のセキュリティまたはログアカウントとして指定することもできます。このオプションを使用すると、AWS Control Tower で新しい共有アカウントを作成する必要がなくなります (これは 1 回限りの選択です)。

共有アカウントおよび関連リソースの詳細については、「共有アカウントとは」を参照してください。

既存のセキュリティアカウントまたはログアカウントを使用する際の考慮事項

AWS アカウントをセキュリティアカウントまたはログアカウントとして受け入れる前に、AWS Control Tower は、AWS Control Tower の要件と競合するリソースがないかアカウントをチェックします。例えば、ロギングバケットの名前が AWS Control Tower が必要とする名前と同じである場合があります。また、AWS Control Tower は、アカウントがリソースをプロビジョニングできることを検証します。たとえば、AWS STS が有効になっていること、アカウントが一時停止されていないこと、AWS Control Tower がアカウント内のリソースをプロビジョニングする許可を持っていることを確認します。

AWS Control Tower は、お客様が指定したログアカウントやセキュリティアカウント内の既存のリソースを削除しません。ただし、リージョン拒否機能を有効にすると、リージョン拒否ガードレールにより、拒否されたリージョン内のリソースへのアクセスが禁止されます。

管理アカウント

この AWS アカウント が AWS Control Tower を起動します。デフォルトでは、このアカウントのルートユーザーおよびこのアカウントの IAM 管理者ユーザーは、ランディングゾーン内のすべてのリソースへのフルアクセス権を持っています。

注記

ベストプラクティスとして、AWS Control Tower 管理コンソール内で管理機能を実行するときには、このアカウントのルートユーザーまたは IAM 管理者ユーザーとしてサインインするのではなく、管理者権限を持つ IAM Identity Center ユーザーとしてサインインすることをお勧めします。

管理アカウントで使用できるロールとリソースの詳細については、「管理アカウントとは」を参照してください。

ログアーカイブアカウント

この共有アカウントは、ランディングゾーンの作成時に自動的にセットアップされます。

このアカウントには、集約型の Amazon S3 バケットがあり、ランディングゾーンにある他のすべてのアカウントのすべての AWS CloudTrail ログファイルと AWS Config ログファイルのコピーが保存されます。ベストプラクティスとして、ログアーカイブアカウントへのアクセスを制限することをお勧めします。コンプライアンスと調査を担当し、それに関連するセキュリティツールまたは監査ツールを使用するチームに制限します。このアカウントは、自動セキュリティ監査に使用できるほか、Lambda 関数などのカスタム AWS Config Rules をホストして修復アクションを実行する場合にも使用できます。

ログアーカイブアカウントで使用可能なロールとリソースの詳細については、「ログアーカイブアカウントとは」を参照してください。

注記

これらのログは変更できません。アカウントアクティビティに関連する監査とコンプライアンス調査の目的で、すべてのログが保存されます。

監査アカウント

この共有アカウントは、ランディングゾーンの作成時に自動的にセットアップされます。

監査アカウントは、セキュリティとコンプライアンスのチームに制限することをお勧めします。チームは、ランディングゾーン内のすべてのアカウントに対して監査人 (読み取り専用) と管理者 (フルアクセス) というアカウント横断的なロールを持ちます。このようなロールは、セキュリティとコンプライアンスのチームが次の目的で使用するためのものです。

  • カスタム AWS Config ルール Lambda 関数のホストなど、AWS メカニズムを使用して監査を実行します。

  • 修復アクションなど、自動化されたセキュリティ操作を実行します。

また、監査アカウントは Amazon Simple Notification Service (Amazon SNS) サービスから通知を受け取ります。次の 3 つのカテゴリの通知を受け取ることができます。

  • すべての設定イベント - このトピックでは、ランディングゾーン内のすべてのアカウントから受け取ったすべての CloudTrail 通知と AWS Config 通知が集約されます。

  • セキュリティ通知の集約 — このトピックでは、特定の CloudWatch イベント、AWS Config Rules コンプライアンスステータス変更イベント、および GuardDuty 検出結果から受け取ったすべてのセキュリティ通知が集約されます。

  • ドリフト通知 - このトピックでは、ランディングゾーン内のすべてのアカウント、ユーザー、OU、および SCP で検出されたすべてのドリフト警告が集約されます。ドリフトの詳細については、「AWS Control Tower でドリフトを検出および解決する」を参照してください。

メンバーアカウント内でトリガーされる監査通知では、ローカルの Amazon SNS トピックにアラートを送信することもできます。この機能により、アカウント管理者は個々のメンバーアカウントに固有の監査通知をサブスクライブできます。そのため、管理者は個々のアカウントに影響する問題を解決しながら、一元管理された監査アカウントにすべてのアカウント通知を集約できます。詳細については、「Amazon Simple Notification Service デベロッパーガイド」を参照してください。

監査アカウントで使用できるロールとリソースの詳細については、「監査アカウントとは」を参照してください。また、「AWS Control Tower 監査アカウントのプログラムによるロールおよび信頼関係」も参照してください。

重要

監査アカウントに対して指定した E メールアドレス宛に、AWS Control Tower でサポートされているすべての AWS リージョンから「AWS Notification - Subscription Confirmation」 (AWS 通知 - サブスクリプション確認) という件名の E メールが届きます。監査アカウントでコンプライアンスメールを受信するには、AWS Control Tower でサポートされている各 AWS リージョンからの各メール内の [Confirm subscription] (サブスクリプションの確認) リンクを選択する必要があります。

メンバーアカウントについて

メンバーアカウントは、ユーザーが AWS ワークロードを実行する際に使用するアカウントです。これらのメンバーアカウントは、Account Factory を使用して、AWS Service Catalog コンソールで [Admin] (管理者) 権限を持つ IAM Identity Center ユーザーが作成するか、自動化された方法で作成することができます。作成されたメンバーアカウントは、AWS Control Tower コンソールで作成された OU または AWS Control Tower に登録された OU に存在します。詳細については、次の関連トピックを参照してください。

また、「AWS Control Tower Account Factory for Terraform によるアカウントのプロビジョニング」も参照してください。

アカウントとガードレール

メンバーアカウントは、AWS Control Tower で登録することも、未登録にしておくこともできます。登録済みのアカウントと未登録のアカウントには、それぞれ異なる方法でガードレールが適用されます。また、ネストされた OU のアカウントには、継承に基づいてガードレールが適用されることもあります。